L’identità è sempre più spesso sotto pressione da parte dei cybercriminali. Emiliano Massa, Area Vice President Sales SEUR di Proofpoint, illustra minacce e attacchi di cui essere consapevoli
È facile capire perché oggi i criminali informatici si concentrino sullo sfruttamento delle identità come fase fondamentale dei loro attacchi. Una volta ottenute le credenziali di un utente non è più necessario preoccuparsi di trovare modi creativi per accedere a un ambiente. Sono già dentro.
Trarre profitto dalle identità richiede impegno e persistenza. Ma per molti versi questa tattica è più semplice dello sfruttamento di eventuali vulnerabilità tecniche. A lungo termine, trasformare identità in azioni può far risparmiare ai malintenzionati molto tempo, energia e risorse. Tanto che è diventato uno degli approcci preferiti sul campo, con l’84% delle aziende che ha subito durante lo scorso anno una violazione della sicurezza legata all’identità.
Per difendersi da questa tipologia di attacchi, è necessario capire come i malintenzionati prendono di mira i meccanismi di autenticazione e autorizzazione utilizzati in azienda per gestire e controllare l’accesso alle proprie risorse.
Tipologie di attacco e metodi basati sull’identità
Abbiamo identificato otto esempi di attacchi all’identità abbinati alle relative strategie per fornire una panoramica completa delle minacce più comuni. Non si tratta di un elenco esaustivo, anche perché i criminali informatici fanno evolvere continuamente le loro tecniche di attacco.
- Stuffing delle credenziali
Il credential stuffing è un tipo di attacco brute-force. I cybercriminali aggiungono coppie di nomi utente e password compromessi a botnet che automatizzano il processo di utilizzo delle credenziali su molti siti diversi contemporaneamente. L’obiettivo è identificare combinazioni di account che funzionano e possono essere riutilizzate su più siti.
Il credential stuffing è una tecnica comune di attacco all’identità, utilizzata in particolare per le applicazioni Web più diffuse. Si tratta di una strategia molto efficace, che fa leva sull’abitudine di molti utenti di utilizzare le stesse password per più siti web: quando i malintenzionati trovano una coppia vincente sono in grado di rubare e distruggere molti siti contemporaneamente.
- Password spraying
Un altro metodo di attacco all’identità brute-force è il password spraying. Un malintenzionato utilizzerà questo approccio per tentare di ottenere un accesso non autorizzato agli account dell’utente provando sistematicamente le password più comuni con molti username.
Il password spraying non è un attacco brute-force tradizionale, ma è un approccio più sottile che mira a evitare il blocco dell’account che si sta cercando di compromettere. Ecco come si svolge solitamente:
- L’attaccante raccoglie un elenco di username attraverso fonti di informazioni pubbliche, database trafugati, attività di ricognizione, dark web e altri mezzi.
- Quindi seleziona un piccolo insieme di password comunemente utilizzate o facilmente indovinabili.
- Successivamente, prova ognuna delle password selezionate con un gran numero di account utente fino a quando non riesce ad accedere.
Lo spraying di password è progettato per passare inosservato ai tradizionali sistemi di sicurezza che potrebbero non rilevarlo a causa del basso numero di tentativi di accesso falliti per utente. I servizi che non implementano policy di blocco degli account o che hanno criteri legati alle password deboli sono a rischio di questa tipologia di attacco.
- Phishing
Si tratta di una tattica classica e molto efficace che esiste dalla metà degli anni Novanta. Gli attaccanti utilizzano ingegneria sociale e phishing per colpire gli utenti attraverso email, messaggi di testo, telefonate e altre forme di comunicazione. L’obiettivo di un attacco di phishing è ingannare gli utenti e indurli a compiere l’azione desiderata tra cui fornire credenziali di accesso al sistema, rivelare dati finanziari, installare malware o condividere altri dati sensibili.
Nel corso degli anni, i metodi di attacco phishing sono diventati più sofisticati, ma si basano ancora soprattutto sull’ingegneria sociale per essere efficaci.
- Social engineering
L’ingegneria sociale è più che altro un ingrediente chiave di un attacco all’identità. Si tratta della capacità di ingannare e manipolare gli utenti ed è una caratteristica di molti tipi di attacchi, non solo del phishing via email.
È opinione comune che l’individuo sia l’anello debole della cybersecurity. L’ingegneria sociale è una strategia volta a sfruttare l’incapacità di un utente target di comprendere o resistere a un attacco. In una minaccia basata su social engineering, un attaccante sfrutta le emozioni umane, come la paura, l’urgenza o l’avidità, per indurre l’obiettivo a compiere un’azione, come rivelare le proprie credenziali o inviare denaro.
- Adversary-in-the-middle (AiTM)
AiTM (in precedenza noto come man-in-the-middle) è un tipo di intercettazione e furto digitale in cui un attaccante intercetta i dati da un mittente a un destinatario e poi dal destinatario al mittente, collocando il dispositivo criminale nel mezzo. Trasmette i messaggi in modo silenzioso, all’insaputa di entrambe le parti, le quali credono di avere una conversazione legittima.
Con questa tecnica, gli attaccanti possono prendere il controllo dell’intera sessione autenticata, ottenere password, aggirare l’MFA, rubare proprietà intellettuale, messaggi privati e altro ancora. Gli attacchi AiTM avanzati possono arrivare anche a installare malware sul dispositivo dell’utente senza che il malcapitato ne sia consapevole o coinvolto.
- Kerberoasting
Sebbene il suo nome evochi una sorta di piacevole attività al caminetto, il Kerberoasting è tutt’altro che divertente per chi ne è vittima. Questa tecnica sfrutta l’autenticazione Kerberos di Microsoft, un processo attraverso il quale utenti e servizi si autenticano in rete. I malintenzionati tentano di crackare (o kerberoast) le password degli account di servizio negli ambienti Microsoft Active Directory (AD).
Quando un utente richiede l’accesso a un servizio, ad esempio un’applicazione Web, la domanda si traduce in un ticket di servizio crittografato con una chiave derivata dalla password dell’account di servizio. In un attacco Kerberoasting, i malintenzionati prendono di mira questi ticket e tentano di decifrare la password sottostante utilizzando varie tecniche. Se ci riescono, possono utilizzare il loro accesso all’account di servizio per rubare dati sensibili, manipolare servizi o spostarsi lateralmente all’interno della rete, a seconda dei privilegi dell’account.
- Silver ticket
In questi attacchi, i malintenzionati utilizzano le credenziali rubate per creare un ticket di autenticazione contraffatto. In particolare, creano ticket Kerberos Granting Service o TGS falsificati che appaiono autentici a un determinato servizio. Una volta entrati, possono impersonare un altro utente, accedere alle risorse e potenzialmente aumentare i privilegi, passando anche alla creazione di un golden ticket, come spiegato di seguito.
A differenza di altri attacchi basati sull’identità che coinvolgono il protocollo Kerberos, gli attacchi di tipo silver ticket non comportano l’interazione con il servizio di autenticazione centrale o con il Key Distribution Center (KDC), rendendo più difficile rilevare attività sospette alla fonte di autenticazione.
- Golden ticket
Questo biglietto non vi farà entrare nella Fabbrica di cioccolato di Willy Wonka (a meno che non sia vulnerabile a questo tipo di attacco), ma può aiutare i malintenzionati a ottenere l’accesso al dominio di un’azienda, accedendo ai dati degli utenti memorizzati nelle Active Directory. Come gli attacchi Kerberoasting e silver ticket, l’approccio golden ticket sfrutta le debolezze del protocollo Kerberos, consentendo di bypassare la normale autenticazione.
In questa tipologia di attacco, i cybercriminali falsificano i ticket Kerberos noti come Ticket Granting Tickets, o TGT. I passaggi critici di questo processo includono l’accesso all’hash NTLM dell’account krbtgt, utilizzato per crittografare i TGT (è un account predefinito che esiste in tutti i domini AD). L’hash NTLM è una credenziale sensibile detenuta dal controller di dominio e utilizzata per creare TGT validi.
Un biglietto d’oro vale davvero tanto per gli attaccanti: contiene informazioni sull’identità di un utente fittizio con privilegi arbitrari e fornisce accesso a lungo termine. Una volta in possesso di questo biglietto, il malintenzionato può presentarlo al Key Distribution Center per l’autenticazione senza dover compromettere le credenziali dell’utente reale. Gli attacchi golden ticket offrono un modo per mantenere l’accesso non autorizzato a una rete anche se le password degli utenti legittimi vengono modificate.
Tecniche di prevenzione per evitare attacchi all’identità
Come procedere per prevenire questi attacchi? Esistono diversi controlli di sicurezza che possono essere d’aiuto, tra cui:
Implementare l’autenticazione multi-fattore (MFA)
Si tratta di una potente misura di difesa dagli attacchi all’identità. L’MFA rende molto più difficile il cracking delle password, aggiungendo un ulteriore livello di sicurezza, come i token monouso o la biometria, oltre al semplice utilizzo di user e password. Anche se un malintenzionato rubasse la password, nella maggior parte dei casi non avrebbe accesso al metodo di autenticazione secondario.
È bene tenere presente, tuttavia, che i malintenzionati si avvalgono di altri metodi per aggirarla, come gli attacchi MFA fatigue, che si stanno rilevando di successo. L’MFA è importante, ma non è sufficiente da sola a fermare attaccanti moderatamente sofisticati.
Rafforzare i protocolli di autenticazione
Migliorare i protocolli di autenticazione per prevenire gli attacchi Kerberoasting, Silver e Golden Ticket. Oltre all’uso dell’MFA, alcune delle numerose strategie che si possono adottare includono:
- Rotazione regolare delle chiavi di crittografia
- Applicare policy di password forti
- Ridurre la durata massima dei ticket
- Istituire policy di blocco dell’account
- Monitoraggio e analisi degli eventi di autenticazione
- Condurre controlli di sicurezza regolari
- Proteggere gli account krbtgt in modo più robusto
- Aggiornare e patchare i sistemi
- Seguire il principio del minimo privilegio (PoLP)
Fornire agli utenti una formazione mirata di consapevolezza sulla cybersicurezza
L’elemento umano gioca un ruolo fondamentale nel successo degli attacchi basati sull’identità. Quindi, è fondamentale aiutare gli utenti a trasformarsi in difensori efficaci. Dopo tutto, sono loro a trovarsi in prima linea quando si tratta di molte minacce all’identità.
Con una formazione mirata sulla sicurezza, possono imparare a individuare gli attacchi di phishing, resistere alle tattiche di social engineering e capire come segnalare attività sospette. Ogni secondo è importante quando gli attacchi basati sull’identità sono in corso e i malintenzionati stanno violando AD e altri servizi, sistemi e applicazioni critici.